解析squid安全策略（2）

管理代理服务器端口

没人愿意把自己的服务器作为任务代理服务器；同时，代理服务器很容易被用作对别人进行攻击的跳板。所以，代理服务器软件Squid也不可以随便 供给服务，只需要 在对应的squid.conf中加上“http_port 192.168.0.254:3128”，就能实现这一目标 。这样由其它接口进入的用户就没措施应用代理服务了。

关注Squid日志

Linux网络管理员该当尽量记载 所有日志，这些日志会记载 所有异常造访的线索。最简略的法子 便是通过涉猎器来观察。squid本身供给一个cgi程序，文件名为cachemgr.cgi，squid安装完后将它复制到Apache服务器下的cgi-bin这个目录下即可应用。

mv /usr/lib/squid/cachemgr.cgi /home/httpd/cgi-bin

通过apache进行监控squid，修正配置文件/etc/http/conf/http.conf，添加以下内容：

<Location /cgi-bin/cachemgr.cgi>

AuthType Basic

AuthNamw "Squid admin"

AuthUserFile /usr/local/squid/etc/squid.pwd

require valid-user

</Location>生成口令文件：

cd /usr/local/squid/etc

htpasswd -c squid.pwd squidadmin

chown apache:apche squid.pwd

重启squid与http，要视察Cache Manager供给的信息时，请在涉猎器的地址列中键入“http://的名称”或“IP地址/cgi-bin/cachemgr.cgi”。首先看到用户认证界面，经过认证落后入登录界面，输入代理服务器地址和端口号，点激“continue”按纽进入工作界面见图1。

为Squid代理服务器串列HAVP

HAVP是一个开放源代码的Linux病毒过滤代理服务器，应用 C++语言编写。HAVP通常会和Squid串列应用，它应用 ClamAV anti-virus病毒库，可以加强 Squid提防病毒能力 。

HAVP配置步骤：

1.首先解压收缩包

#gunzip havp-0.70.tar.gz

#cd /havp-0.70

2.修正配置文件havp/default.h

#define SCANTEMPFILE "/tmp/virus/havp-0.70　/定义扫描临时目录/

#define MAXSCANTEMPFILELENGTH 200 /临时文件目录长度/

#define ACCESSLOG "/var/log/havp/access.txt" /造访日志文件/

#define ERRORLOG "/var/log/havp/error.txt"　 /差错日志文件/

#define KEEPBACKBUFFER 50005 /回送缓冲区大小/

#define MAXRECV 50000 /返回缓冲区大小/

#define USER nobody　/HAVP历程用户/

……

3.修正 ClamAV文件的clamav-config.h 文件,将选项SCANBUFF设置比”MAXRECV”小一些

4.编译文件

#./configure;make;make install

5.启动HAVP

#/usr/local/bin/havp

通过网站：http://www.eicar.org/anti_virus_test_file.htm查看扫描效果是否正常。但HAVP目前只能针对HTTP协议 的病毒进行检测和过滤，但是对于HTTPS、FTP其它协议 不能实现。

代理服务器的功效是代理网络用户取得网络信息，它是网络信息的中转站。随着代理服务器的广泛 应用，随之而来的是一系列的安全问题。由于没有对代理服务器的造访把持策略做全面过细地配置，导致用户可以随便地通过代理服务器造访许多 * 、反动的非法站点，而这些行径往往又很难追踪，给管理工作带来极大的不便。以下为您介绍Linux下常用的Squid代理服务器的安全策略，期望抛砖引玉，对您的工作有所赞助 。

把持对客户端造访

应用造访把持特征，可以把持在造访时根据 特定的光阴间隔进行缓存、造访特定站点或一组站点等。Squid造访把持有两个要素：ACL元素和造访列表。通过应用这些法子 ，系统管理员可以严峻、清楚地定义代理服务器的造访把持策略。下面介绍一些例子：

◆ 容许内部一个网段的私有IP地址进行转发

acl me src 172.16.0.0/255.255.0.0

http_access allow all

上面的规矩容许 172.16.0.0这个网段的IP都被转发，但注意要在配置文件的最后加上“http_access deny all”，表现以上各规矩都不匹配时回绝所有的数据包。

◆ 容许列表中的机器造访互联网

acl clients src 10.0.0.124/24 192.168.10.15/24

acl guests src “/etc/squid/guest”

acl all src 0.0.0.0/0.0.0.0

http_access allow clients

http_access allow guests

http_access deny all

如果容许网段10.0.0.124/24以及192.168.10.15/24内的所有客户机造访代理服务器，并且容许在文件/etc/squid/guest列出的客户机造访代理服务器，除此之外的客户机将回绝造访本地代理服务器。其中，文件“/etc/squid/guest”中的内容为：

172.168.10.3/24

210.113.24.8/16

10.0.1.24/25

◆ 限制作访时段

acl allclient src 0.0.0.0/0.0.0.0

acl administrator 192.168.10.0/24

acl common_time time MTWH 8:30-20:30

acl manage_time time F 13:00-18:00

上面的规矩容许所有的用户在规定的光阴内（周一至周四的8:30到20:30）造访代理服务器，只容许特定的用户（管理员，其网段为：192.168.10.0/24）在周五下午造访代理服务器，其他的在周五下午一律回绝造访代理服务器。

◆ 站点屏蔽

Squid可以屏蔽某些特定站点或含有某些特定字词的站点。用下面的规矩实现：

acl sexip src "/usr/local/squid/etc/sexip"

acl sexdn dstdomain "/usr/local/squid/etc/sexdn"

acl sexurl url_regex "/usr/local/squid/etc/sexurl"

acl sextag urlpath_regex "/usr/local/squid/etc/sextag"

http_access deny sexdn

http_access deny sexip

http_access deny sexurl

http_access deny sextag

上述代码中共有两部分,它们分辨 表现：sexip记载 不法IP地址133.3.103.6；sexdn记载 不法域sex.abc.com；exurl记载 不合法网址；sextag记载 不合法字眼—************。在实际利用中，无须把需要 屏蔽的所有站点或字词都列在上面，可以先保存 在一个文件中。ACL将从该文件中读出所需信息用以屏蔽被阻挠的站点。